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fT) (57) Abstract: The invention concerns an access control device comprising signalling analysis means (4) and traffic analysis means 
9\ (20, 21) connected to an ATM switch (3) configured to cause ATM signalling messages exchanged between internal and external 
O ATM networks to pass through the analysing means, and to cause traffic carrying ATM cells exchanged between the internal and 
fs| external networks in the context of ATM connections set up by means of said ATM signalling messages to pass through the traffic 
O analysing means. Control access management means (7) dynamically configure the traffic analysing means (20, 21) according to an 
Q access control policy and data collected by the signalling analysing means (4) so that the traffic analysis means filter each ATM cell 
in conformity with the control access policy. 
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(57) Abrege : Le dispositif de control e d'acces comprend des moyens d'analyse de signalisation (4) et des moyens d' analyse de 
traflc (20, 21) relies a un commutateur ATM (3) configure* pour faire transiter par les moyens d* analyse de signalisation des messages 
de signalisation ATM echanges entre des reseaux ATM interne et externe, et pour faire transiter par les moyens d'analyse de traflc des 
cellules ATM porteuses de trafic echang^es entre les reseaux interne et externe dans le cadre de connexions ATM Stablies au moyen 
desdits messages de signalisation ATM des moyens de gestion des controle d'acces (7) configurent dynamiquement les moyens 
d' analyse de traflc (20, 21) en fonction d*une politique de controle d'acces et d' informations recueilles par les moyens d' analyse de 
signalisation (4) de facon que les moyens d'analyse de traflc filtrent chaque cellule ATM conform6ment a la politique de controle 
d'acces. 
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PISPOS1TIF DE CONTROLE D'ACCES ENTRE PES RESEAUX ATM 

La presente invention concerne les techniques de controle d'acces 
dans les reseaux ATM (« Asynchronous Transfer Mode »). 

La technologie ATM a ete specifiee pour assurer le transport de flux de 
5 natures diverses ayant des exigences variees en termes de quality de service 
(QoS, « Quality of Service »). Les communications sont orientees connexion, 
celles-ci etant etablies, controlees et fermees au moyen d'un protocole de 
signalisation. 

L'invention vise a fournir un outil de controle d'acces pour les reseaux 
10 bases sur la technologie ATM, c'est-a-dire aussi bien des reseaux utilises par 
des applications natives ATM que par des reseaux de paquets (par exemple IP 
ou X25) pour lesquels la technologie ATM est utilisee de maniere transparente. 

La qualite du controle d'acces effectue dans les reseaux est fonction 
de la quantite ^information qu'il est possible de r6cuperer afin de caracteriser 
15 les actions des utilisateurs. Un autre point important est la capacite de Poutil de 
controle d'acces a respecter les engagements en matiere de qualite de service 
pris par le r6seau vis-a-vis des utilisateurs. Les processus de controle d'acces 
etant particulierement consommateurs de ressources, il est necessaire de faire 
un compromis sur la quantite ^information que Ton desire r6cuperer tout en 
20 utilisant un processus de recuperation et d'analyse des informations aussi 
performant que possible. II faut pour cela faire en sorte que le controle d'acces 
s'adapte aux utilisations du reseau ATM, et ce de maniere dynamique. 

La solution la plus evidente pour realiser le controle d'acces dans les 
reseaux ATM est d'utiliser un dispositif pare-feu, ou « firewall », entre le reseau 

25 a proteger (ci-apres appel6 reseau interne) et le reseau public non sur (ci-apres 
appele reseau exteme). Cette solution permet le controle d'acces aux niveaux 
paquet, circuit et application. Dans ce cas, le reseau ATM est considSre 
comme une couche de niveau 2 dans le modele OSI permettant I'etablissement 
de connexions point a point Deux connexions sont etablies, Tune entre le 

30 firewall et Tequipement interne et Tautre entre le firewall et Pequipement 
externe. Avec ce type d'outil, le controle d'acces au niveau ATM n'est pas 
possible, et la QoS assoctee aux connexions ATM n'est pas garantie. 

Au niveau IP et au niveau circuit, les paquets IP sont reassembles & 
partir des cellules ATM et le controle d'acces est realise au moyen des 

35 informations contenues dans les en-tetes des paquets IP (« Internet Protocol », 
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RFC 760, IETF, janvier 1980), TCP (« Transmission Control Protocol », 
RFC 793, IETF, septembre 1981) et UDP (« User Datagram Protocol », 
RFC 768, IETF, aout 1980). Les paquets sont fittres en comparant des champs 
de I'en-tete, tels que les adresses et les ports source et destination, la direction 
5 des paquets et les drapeaux TCP, etc., avec une description des paquets 
autorises. Les paquets non autorises sont detruits alors que les paquets 
autorises sont transfers d'un reseau a Pautre. Lorsque la meme QoS est 
negociee de part et d'autre du firewall, la qualite de service de bout en bout 
peut etre affectee de la maniere suivante : 
10 - les operations de reassemblage, de routage et de fragmentation 

augmentent le d§lai de transit des cellules (CTD). 

- les operations effectuees sur les informations transmises peuvent 
augmenter le taux de perte de cellule (CLR). 

- le temps passe a reassembler et fragmenter les paquets est 
15 proportionnel a leur taille. Celle-ci etant variable, la gigue dans le delai de 

transfert des cellules (CDVT) peut etre modifiee. 

- les actions de routage et de filtrage se faisant de maniere logicielle, la 
charge du systeme peut introduire des modifications dans les debits crete 
et moyen. 

20 Les actions au niveau application sont filtrees au niveau applicatif par 

des logiciels appeles proxies. Comme aux niveaux IP et circuit, la QoS est 
perturb§e, mais de maniere plus importante car le trafic est examine au niveau 
application. De plus, comme le filtrage se fait generalement dans un 
environnement multitache, des desynchronisations peuvent se produire entre 

25 les flux filtres. 

Un dernier probleme introduit par ce type ^architecture est son 
incapacity £ supporter des debits importants. Plusieurs 6tudes (voir « ATM Net 
Management : Missing Pieces », par J. Abusamra, Data Communications, mai 
1998, ou « Firewall Shootout Test Final Report », Keylabs, 

30 Networld + lnterop'98, mai 1998) ont montre que ce type ^architecture ne 
pouvait fournir pour le moment le service de controle tfacces de maniere 
satisfaisante a la vitesse dun lien OC-3 (155 Mbit/s). 

Le service de controle d'acces tel qu'il est defini par les specifications 
de PATM Forum (« ATM Security Specification Version 1 .0 », The ATM Forum 
35 Technical Committee, fevrier 1999) est une extension du service de controle 



WO 02/09367 



PCT/FR01/02394 



-3- 

d'acces tel qu'il est considere dans les systemes classes A et B de TOrange 
Book. Dans cette approche, un niveau de sensibilite est assocte aux objets et 
un niveau d'autorisation est associe aux sujets, Chaque niveau est code au 
moyen de deux types de parametre, d ! une part un niveau hierarchique (par 

5 exemple public, confidentiel, secret, tres secret, ...) et tf autre part un ensemble 
de domaines (par exemple gestion, recherche, production, ressources 
humaines, ...). Un sujet peut acceder a un objet si son niveau hierarchique est 
superieur a celui de Pobjet et si au moins un des domaines de I'objet est inclus 
dans un domaine du sujet. 

10 Dans les specifications de PATM Forum, ces deux niveaux sont codes 

sous forme d'etiquettes suivant la norme « Standard Security Label for 
Information Transfer » (Federal Information Processing Standards Publication 
188, National Institute of Standards and Technology, septembre 1994). Les 
etiquettes caracterisant le niveau de sensibilite des donnees transmises sont 

15 echangees avant tout 6change de donnees utilisateur au moyen de la 
signalisation ATM ou d'un protocole du plan utilisateur. Le controle d'acces en 
lui-meme est realise par les equipements du reseau qui verifient que le niveau 
de sensibilite des donnees est compatible avec le niveau d'autorisation des 
liens et des interfaces sur lesquels les donn6es sont transferees. 

20 Le principal avantage de cette solution est son extensibility car la 

decision de controle d'acces se fait au moment de I'ouverture de connexion et 
sans interference avec les donnees des utilisateurs. Cependant, certains 
problemes peuvent etre soulignes : 

- tous les equipements du reseau sont censes gerer les etiquettes de 
25 securite. Les equipements actuels ne disposent pas de telles 

fonctionnalites ; 

- une connexion doit etre etablie pour chaque niveau de sensibility ; 

- le controle d'acces tel qu'il est considere dans les firewalls traditionnels 
(acc6s aux equipements, aux services, ...) est laisse volontairement en 

30 dehors des specifications. 

Les limitations d§crites ci-dessus ont ete rapidement identifies et 
plusieurs propositions ont 6te faites afin de foumir le service de controle 
d f acc6s dans son sens traditionnel dans les r^seaux ATM. Ces solutions 
peuvent se classifier en deux categories : solutions industrielles et solutions 
35 academiques. 
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Le premier type de solution industrielle (« LightStream 1010 
Multiservice ATM Switch Overview », Cisco Corp., 1999) utilise un 
commutateur ATM classique modifie afin de filtrer les demandes de connexion 
ATM en fonction des adresses source et destination. Le probleme principal de 
5 cette approche est que le service de controle d'acces n'est pas tres puissant 
compte tenu des parametres consideres. 

La seconde solution industrielle (« Atlas Policy Cache Architecture, 
White Paper », B. Kowalski, Storagetek Corp., 1997) est egalement basee sur 
un commutateur ATM, modifie afin de rendre un service de controle d'acces au 

10 niveau IP. Au lieu de reassembler les cellules pour examiner les en-tetes des 
paquets comme dans un firewall traditionnel, cette approche cherche a obtenir 
ces informations directement dans la premiere cellule echangee sur une 
connexion. Cette approche empeche la perturbation de la qualite de service 
pendant la commutation des cellules. Elle utilise egalement une m6moire 

15 associative CAM (« Content Addressable Memory ») afin de rendre les 
recherches dans la politique de contrdle d'acces plus rapides. Cette solution 
est la premiere a prendre en compte les limites du firewall traditionnel. 
Cependant elle n'est pas exempte de d§fauts : 

- le controle d'acces est limits aux niveaux reseau et transport. Les 
20 niveaux ATM et application ne sont pas consideres ; 

- les paquets IP incluant des options ne sont pas filtrSs au niveau 
transport. En effet les options peuvent repousser les informations 
concernant UDP et TCP dans une deuxieme cellule. Ceci pose un 
probleme de s§curite ; 

25 - l'§quipement est difficile a gerer en particulier dans le cas des connexions 

dynamiques car la configuration des filtres se fait manuellement ; 

- les performances de cet equipement ne sont pas tres extensibles. En 
effet une version OC-12 (622 Mbit/s) de ce produit a et6 annoncee en 
1996, mais n'a pas et6 presentee depuis. 

30 Les deux solutions academiques sont basees sur Parchitecture 

precedente mais introduisent des ameliorations afin de combler certaines des 
lacunes de cette solution. 

La premiere approche (J. McHenry, et aL, « An FPGA-Based 
Coprocessor for ATM Firewalls », Proceedings of IEEE FCCM'97, Avril 1997) 
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utilise un circuit specialise de type FPGA associe a un commutateur modifie. 
Au niveau ATM, le controle d'acces a I'etablissement des connexions est 
ameliore en permettant un filtrage bas6 sur les adresses source et destination. 
Cette solution permet egalement le filtrage des informations de routage PNNI 
5 (« Private Network to Network Interface »). Aux niveaux IP et transport, le 
service de controle d'acces est similaire a celui de la seconde solution 
industrielle precitee. Cette solution est la plus complete actuellement 
implementee. Cependant elle possede quelques limitations : 

- les paquets IP avec options ne sont pas traites ; 

10 - seule une partie des informations fournies par la signalisation est 

utilisee ; 

- il n ! y a pas de controle d'acces au niveau application. 

La seconde solution academique (J. Xu, et al., « Design of a 
High-Performance ATM Firewall », Rapport technique, The Ohio State 

15 University, 1997) est Tarchitecture la plus complete proposee jusqu'& present. 
Une classification du trafic en quatre categories est effectuee en fonction de la 
QoS negociee au niveau ATM et du traitement a realiser sur le flux. Cette 
classification permet d'assurer que les communications ayant des contraintes 
de quality de service ne sont pas perturbees par des traitements complexes, 

20 les autres communications etant filtrees et perturbees de la rneme fa^on que 
dans un firewall. En dehors de la classification, cette solution introduit 
egalement tout un ensemble d'idees ^implementation interessantes afin de 
reduire les delais engendres par le controle d'acces. Cette approche presente 
cependant certains inconvenients : 

25 - peu de parametres sont consideres au niveau ATM ; 

- le controle d'acces au niveau application n'est pas foumi pour les 
applications ayant des contraintes de QoS ; 

- les communications UDP reposant sur des connexions ATM ayant des 
contraintes de QoS ne sont pas controlees ; 

30 - ('architecture ne permet pas de supprimer les fuites d'information 

puisqu'un utilisateur peut avec une complicite exterieure dejouer les 
mecanismes de controle d'acces ; 

- I'architecture est complexe et on peut se demander quels seraient les 
debits supportes par une implementation de cette architecture. 

35 Un but principal de la presente invention est de fournir une autre 
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solution au probleme du controle d'acces dans les reseaux ATM, qui offre de 
larges possibilites de controle a differents niveaux. Un autre but est de faciliter 
ia gestion de I'outil de controle d'acces en permettant notamment d'integrer 
differents aspects de la politique de controle d'acces aux niveaux ATM, IP et 
5 transport. Un autre but encore est d'ameliorer le controle d'acces au niveau 
ATM en enrichissant les parametres de controle d'acces pris en consideration. 
II est 6galement souhaitable de fournir un service rapide de controle d'acces au 
niveau cellule. 

L'invention propose ainsi un dispositif de controle d'acces entre des 

10 reseaux ATM, comprenant des moyens d'analyse de signalisation et des 
moyens d'analyse de trafic relics a un commutateur ATM configure pour faire 
transiter par les moyens d'analyse de signalisation des messages de 
signalisation ATM echanges entre des reseaux ATM interne et externe, et pour 
faire transiter par les moyens d'analyse de trafic des cellules ATM porteuses de 

15 trafic echangees entre les reseaux interne et externe dans le cadre de 
connexions ATM etablies au moyen desdits messages de signalisation ATM. 
Le dispositif comprend en outre des moyens de gestion de controle d'acces 
pour configurer dynamiquement les moyens d'analyse de trafic en fonction 
d'une politique de contrdle d'acces et d'informations recueillies par les moyens 

20 d'analyse de signalisation de fagon que les moyens d'analyse de trafic filtrent 
chaque cellule ATM conformement & la politique de controle d'acces. 

D'autres particularites et avantages de la presente invention 
apparaitront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

25 - la figure 1 est un schema synoptique d'un dispositif de controle d'acces 

selon l'invention ; 

- la figure 2 est un diagramme illustrant une configuration d'un 
commutateur du dispositif de la figure 1 vis-a-vis de messages de 
signalisation ATM ; 

30 - la figure 3 est un schema synoptique d'un analyseur de signalisation du 

dispositif de la figure 1 ; 

- la figure 4 est un tableau decrivant des informations trait§es par des 
analyseurs de trafic du dispositif de la figure 1 ; 

- la figure 5 est un diagramme illustrant une configuration du commutateur 
35 du dispositif de la figure 1 vis-a-vis de cellules ATM de trafic ; et 
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- la figure 6 est un diagramme illustrant un exemple d'arbre d'analyse 
auquel se refere un analyseur de trafic du dispositif de la figure 1 . 
Comme indique sur la figure 1 , un dispositif de controle d'acces selon 
Tinvention peut etre compose de deux parties principles 1, 2 cooperant avec 
5 un commutateur ATM 3. La premiere partie 1 est dediee a la prise en compte 
d'une politique de controle d'acces et a I'analyse de la signalisation ATM. Le 
resultat de cette analyse est utilisee pour construire dynamiquement une 
configuration. Celle-ci est utilisee par la seconde partie 2 pour fournir un 
service de controle d'acces base sur les informations transportees dans les 
10 cellules ATM. Cette seconde partie 2 est capable de recuperer les informations 
de niveau ATM, IP et transport afm de decider si une communication doit etre 
autorisee ou interdite. La configuration de I'ensemble se fait au moyen d'un 
langage unique. 

La partie 1 peut etre realisee au moyen d'une station de travail, telle 

15 qu'une station commercialisee par la societe Sun Microsystem, Inc. L'analyseur 
de signalisation 4 est I'element de cette partie 1 qui effectue les actions de 
controle d'acces au niveau de la signalisation ATM en combinaison avec le 
gestionnaire de controle d'acces 7. 

La partie 2 peut §tre realisee au moyen d'une station de type PC 

20 fonctionnant par exemple avec le systeme d'exploitation Solaris x86. Cette 
station est equipee de cartes 20, 21 d'analyse en temps reel des cellules ATM, 
ci-apr6s appelees cartes IFT (« IP Fast Translator »), qui assurent les actions 
de controle d'acces cellule par cellule. 

Afin de permettre I'expression de politiques de controle d'acces, on 

25 utilise un Langage de Definition de Politique de Controle d'Acces (ACPDL, 
« Access Control Policy Description Language »). La definition de TACPDL est 
basee sur le Langage de Description de Politique (PDL) en cours de definition 
au sein du groupe de travail travaillant sur les politiques a PIETF (voir J. 
Strassner, et aL, « Policy Framework Definition Language », 

30 draft-ietf-policy-framework-pfdl-OO.txt, Internet Engineering Task Force, 17 
novembre 1 998). Dans ce langage, une politique est definie par un ensemble 
de regies, chaque regie §tant elle meme constitute d f un ensemble de 
conditions et d'une action qui est executee lorsque I'ensemble des conditions 
est rempli. L'expression suivante (exprimee dans le formalisme Backus Naur, 

35 BNF) decrit la forme generate d'une r&gle : 

Rule ::= IF <Conditions> THEN <Action> 
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Toutes les conditions ont la meme structure generique exprimee 
ci-dessous au moyen du formalisme BNF: 

Condition : := <ACCESS CONTROL PARAMETER> 
<RELAT I ONAL OPERATOR> < VALUE > 

5 En fonction du niveau dans la pile de protocole, plusieurs types de 

parametres de controle d'acces peuvent etre utilises : 

- au niveau ATM, les parametres interessants sont decrits dans I'article de 
O. Paul, et al., « Manageable parameters to improve access control in 
ATM networks », HP-OVUA Workshop, Rennes, France, avril 1998. 

10 Parmi ceux-ci, on peut choisir le type de trafic, les identificateurs de 

connexion, les informations d'adressage, les descripteurs de QoS et les 
descripteurs de service ; 

- au niveau transport, la plupart des parametres consideres sont ceux qui 
sont utilises habituellement afin de realiser le filtrage des paquets dans 

15 les routeurs filtrants (par exemple les informations d'adressage, les ports 

source et destination, les drapeaux dans le cas des connexions TCP, 
etc.); 

- au niveau application, deux parametres generiques sont consideres : 
Tidentificateur de I'utilisateur de I'application ainsi que I'etat de 

20 I'application ; 

- des informations temporelles sont egalement incluses afin de specifier 
quand une regie doit etre appliquee. 

Les actions ont egalement une structure generique (notation BNF) : 
Action : := <ACTION> <ACTION LEVEL > <LOG LEVEL> 
25 Une action se decompose en trois parties. La premiere indique si la 

communication decrite par les conditions doit etre autorisee ou interdite. Le 
paramdtre <action level> correspond a la couche protocolaire dans 
laquelle doit etre effectu6e Taction. La derniere partie decrit I'importance 
accordee a rev§nement de controle d'acces et permet la classification des 
30 resultats. 

Le paragraphe suivant montre comment le langage ACPDL peut etre 
utilise afin d'exprimer un exemple de service de controle d'acces. Dans cet 
exemple, chaque equipement est identify par son adresse source 
(ip__src_address) et son adresse destination (ip_dst_address). Le 
35 service WWW est identifie par les ports source (src_port) et destination 
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(dst_port). La deuxieme ligne de commande donnee dans I'exemple est 
utilisee afin d'interdire les demandes de connexion sur le port WWW d'une 
station interne. 

IF (IP_SRC_ADDRESS - 192 . 165 . 203 . 5 255 . 255 . 255 . 255) AND 
5 (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) 

AND (DST_PORT = 80) THEN PERMIT TRANSP_CONNECTION; 
IF (IP_SRC_ADDRESS - 0.0.0.0 0.0.0.0) AND 
(IPJDST_ADDRESS = 192.165.203.5 255.255.255.255) AND 
(SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> 
10 SYN) THEN PERMIT TRANSP_CONNECTION ; 

La politique de controle tfacces est definie par I'officier de securite au 
moyen d'une interface homme-machine (IHM) 6 de la station 1, en utilisant le 
langage ACPDL. Elle est utilisee pour configurer les deux parties du controleur. 
Cependant cette politique ne peut pas etre utilisee directement par les deux 

15 outils de controle tfacces 4, 20/21. Le gestionnaire 7 est le module qui permet 
de resoudre ce probleme en traduisant la politique de controle d'acces en 
commandes de configuration pour les deux outils. 

Ce processus de traduction peut etre divise en deux parties 
principles. La premiere est la traduction de la politique en trois configurations 

20 statiques : 

Au niveau de la signalisation ATM, cette configuration comprend une 
description des communications devant etre controlees. Chaque 
communication est decrite par un ensemble d'elements d'information (IE) et par 
une action (Autoriser ou Interdire). Cette configuration est envoyee a 

25 I'analyseur de signalisation 4. 

Au niveau TCP/IP la configuration comprend une description des 
paquets devant etre controls. Cette partie de la politique peut etre generique, 
ce qui signrfie que les regies qui y sont decrites ne sont pas dediees a une 
connexion ATM particuliere. Cette partie peut aussi etre rattachee d une 

30 connexion ATM par Texpression de conditions portant sur des identificateurs de 
connexion. 

Au niveau cellule, la configuration comprend une description des 
cellules qui doivent etre controlees. Ces cellules sont divisees selon les 
champs qu'elles peuvent contenir. Uensemble des valeurs que chaque champ 
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peut prendre est decrit par un arbre. Cette configuration est envoyee aux 
cartes IFT. 

La seconde partie du processus de configuration a lieu lorsqu'une 
demande de connexion est regue par I'analyseur de signalisation 4. Une fois 
5 que le processus de controle d'accds a ete realise, I'analyseur de signalisation 
4 envoie au gestionnaire 7 les informations necessaires pour effectuer la 
configuration dynamique des cartes IFT 20, 21. Cette configuration dynamique 
est importante car elle permet de diminuer la taille des informations de 
configuration stockees dans la memoire des cartes IFT 5 en comparaison avec 
10 une configuration statique. Ceci est important car le delai introduit par les 
cartes IFT au cours du processus d'analyse depend de cette taille. Les 
information fournies par I'analyseur de signalisation 4 comprennent : 

- les identificateurs de connexion VPI et VCI (« Virtual Path Identifier », 
« Virtual Channel Identifier ») ; 

15 - les adresses ATM source et destination ; 

- un descripteur de service (Classical IP over ATM (CLIP), Applications 
natives ATM). Quand une couche additionnelle est utilisee au dessus du 
modele ATM, I'analyseur de signalisation 4 fournit 6galement 
Tencapsulation (avec ou sans entete SNAP /LLC) ; 

20 - la direction de la communication. 

Dans un environnement CLIP, le gestionnaire 7 utilise les adresses 
ATM source et destination afin de trouver les adresses IP correspondantes. 
Cette traduction est effectuee au moyen d'un fichier decrivant les 
correspondences entre adresses IP et ATM. Elle peut aussi utiliser un serveur 

25 de resolution d'adresse (ATMARP). 

Le gestionnaire 7 essaie ensuite de trouver une correspondance entre 
les adresses IP et les regies generiques de controle d'acc&s de niveau TCP/IP. 
Le sous-ensemble de regies obtenu est instancie avec les adresses IP et 
associe aux autres informations (adresses, encapsulation, identificateurs de 

30 connexion, direction). Cet ensemble ^informations est utilise par le 
gestionnaire afin de construire I'arbre d'analyse qui sera utilise pour configurer 
les cartes IFT, et est conserve durant toute la vie de la connexion. A la 
fermeture de connexion, le gestionnaire 7 re£oit un signal de I'analyseur de 
signalisation 4 afin de reconfigurer eventuellement les cartes IFT 20, 21 en 

35 effa^ant les informations relatives a la connexion. Le gestionnaire d6truit 
ensuite les informations associees £ la connexion. 
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L'analyseur de signalisation 4 repose sur deux fonctions. La premiere 
est la redirection des messages de signalisation provenant des reseaux interne 
et externe vers un filtre appartenant a l'analyseur 4 (figure 3). La seconde est la 
capacite de decomposer les messages de signalisation suivant la specification 
5 UNI 3.1 de I'ATM Forum (« ATM User-Network Interface Specification, Version 
3.1 », ATM Forum, juillet 1994) et de transmettre ou de supprimer ces 
messages en fonction de la configuration de contrdle d'acces fournie par le 
gestionnaire 7. 

La station 1 est pourvue de deux cartes d'interface ATM 8, 9 

10 respectivement reliees a deux interfaces 12, 13 du commutateur 3 (figures 1, 2 
et 5). Les autres interfaces representees du commutateur 3 sont notees 10 
. (reseau interne), 11 (r§seau externe), 14 et 15 (cartes I FT 20 et 21). 

Afin de rediriger la signalisation, le commutateur ATM 3 est configure 
afin de dinger les messages de signalisation vers la station 1 comme indiqu§ 

15 sur la figure 2. Cette configuration peut etre realisee en desactivant le protocole 
de signalisation sur les interfaces 10, 11, 12 et 13. Un canal virtuel (VC) doit 
etre ensuite constant entre chaque paire d'interfaces pour chaque canal de 
signalisation. Les canaux de signalisation sont par exemple identifies par un 
identifiant de canal virtuel (VCI) 6gal a 5. 

20 Avec la configuration precedente, les messages de signalisation 

provenant du r§seau externe sont diriges vers Tinterface 13 de la station 1 
alors que les messages provenant du reseau interne sont dirig6s vers 
('interface 12. Comme indique sur la figure 3, tous les messages de 
signalisation sont multiplexes par un module 16 de type Q93B appartenant a 

25 l'analyseur de signalisation 4 et qui communique avec les interfaces ATM 8 et 
9 a travers des modules respectifs 17, 18 mettant en ceuvre les protocoles de 
fiabilisation SSCOP. La fonction du module Q93B est, de fagon connue, 
d'etablir, de controler et de fermer les connexions ATM. Afin d'eviter le rejet des 
messages de signalisation par le module Q93B, celui-ci doit etre modifie afin 

30 de passer les messages a un filtre 19 au niveau application sans les analyser. 
Afin de differencier le filtrage realise sur les messages venant de I'exterieur de 
celui realise sur les messages venant de I'interieur, les messages sont 
associes a leur interface ATM d'origine. Cette information est fournie au filtre 
applicatif 19 par le module Q93B 16. 

35 Lorsque des messages de signalisation sont regus par I'analyseur de 

signalisation 4, ceux-ci sont decomposes par un module de decomposition de 
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messages 24 en elements ^information suivant la specification UNI 3.1. Les 
elements conformation sont ensuite decomposes en informations elemental res 
telles que les adresses, les identificateurs de connexion, la reference d'appel, 
les descripteurs de qualite de service et les identificateurs de. service. 
5 L'analyseur 4 cherche ensuite si le message peut etre associe a une connexion 
existante au moyen du type du message et de la reference d'appel. Si la 
connexion est nouvelle, un descripteur de connexion contenant ces 
informations est construit. Quand la connexion existe deja, le descripteur de 
connexion est mis a jour. Le descripteur de connexion est associe a Tetat de la 

10 connexion et a Pinterface d'origine. II est identifie par un identificateur de 
connexion. Le descripteur est ensuite envoye au filtre 19 afin d'etre analyse. 

Lorsque le filtre 19 regoit un descripteur de connexion, il compare les 
parametres decrivant la connexion avec Tensemble des communications decrit 
par la politique de controle d'acces. Si une correspondence est trouvee, le filtre 

is 19 applique Taction associee a la communication. Dans le cas contraire, il 
applique Taction par defaut qui est d'interdire la connexion. Lorsque Taction 
consiste en une interdiction, le filtre 19 detruit le descripteur de connexion. 
Dans le cas contraire, il envoie le descripteur de connexion au module de 
construction des messages 25. Lorsque le descripteur de connexion indique 

20 qu'un message CONNECT a ete re?u, un sous ensemble des parametres du 
descripteur de connexion est envoye au gestionnaire 7 comme indique ci- 
dessus : 

-les identificateurs de connexion VPI/VCI, obtenus a partir de TIE 
« Connection Identifier » ; 
25 - les adresses ATM source et destination, fournies par les IE « Called 

Party Identifiers et « Calling Party Identifiers ; 

- les descripteurs de service, obtenus a partir des IE « Broadband Higher 
Layer Identifier (BHLI) » et « Broadband Lower Layer Identifier (BLLI) » ; 

- la direction, fournie par le nom de Tinterface associee au descripteur de 
30 connexion. 

Lorsque le descripteur de connexion indique la reception d'un message 
RELEASE_COMPLETE, qui acheve la liberation d'une connexion, le 
descripteur de connexion est de nouveau envoy6 au gestionnaire 7. Les 
communications entre le gestionnaire 7 et le filtre de signalisation 19 peuvent 
35 se faire de fagon classique au moyen d'un segment de memoire partage et de 
signaux. 
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Une autre fonctionnalite fournie par le filtre 19 est sa capacite a 
modifier I'adresse ATM source lorsqu'une communication provient du reseau 
ATM interne, afin de cacher la structure topologique interne de ce reseau. 
Cette fonctionnalite est r§alisee en remplagant I'adresse ATM source par 
5 I'adresse de Pinterface ATM externe de la station, a savoir Pinterface 1 3. 

Lorsque le module de construction de messages 25 re9oit un 
descripteur de connexion, il construit un nouveau message de signalisation a 
partir des informations contenues dans le descripteur. Le message est ensuite 
associe a une interface de sortie et envoye au module Q93B 16. Lorsque I'etat 
10 associe a la connexion indique qu'un message RELEASE_COMPLETE a 6te 
regu pour liberer la connexion, le module 16 libere les ressources associees au 
descripteur de connexion. 

Le delai introduit par le processus d'analyse de la signalisation n'a pas 
d'impact sur le deroulement normal de la connexion car les delais normalises 
15 sont extrfemement larges (par exemple 14 secondes entre les messages 
SETUP et CONNECT). 

Les cartes IFT considerees ici pour la mise en oeuvre de invention 
sont du type decrit dans la demande de brevet europeen n° 00400366.1 
depos§e le 9 fevrier 2000 par la demanderesse. Ces cartes ont ete conpues a 
20 I'origine pour un module de routage a haut debit (voir aussi EP-A-0 989 502). 
Ces cartes possedent des caracteristiques interessantes qui font qu'elles sont 
bien adaptees au dispositif selon invention. 

- elles permettent I'analyse de la premiere cellule de chaque trame AAL5 
(« ATM Adaptation Layer n° 5 ») et la modification des cellules 

25 correspondantes en fonction de I'analyse ; 

- elles peuvent fonctionner a la vitesse de 622 Mbit/s grace a un procede 
rapide et flexible d'analyse des cellules ; 

- le delai introduit par I'analyse peut etre borne et depend de la 
configuration de la carte ; 

30 - elles peuvent etre configures dynamiquement sans interrompre le 

processus d'analyse ; 

- elles sont integrates dans des equipements de type PC sous Solaris. 

La figure 4 decrit les informations pouvant etre analysees par les cartes 
IFT 20,21 dans le cas des protocoles CLIP (CLIP1) et CLIP sans 
35 encapsulation SNAP-LLC (CLIP2). Les champs UD et TD indiquent le debut 
des segments de donn6es pour les protocoles UDP et TCP, respectivement. 
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Ceci signifie que, dans le cas general, les cartes I FT ont acces aux 
informations de niveau ATM, IP, TCP, UDP et dans certains cas de niveau 
application. II faut cependant noter que les champs optionnels pouvant se 
trouver dans le paquet IP ne sont pas representes. La presence de ces 
5 champs (de longueur variable) peut repousser les informations de niveau TCP 
ou UDP dans la seconde cellule ATM. 

Comme dans le cas de la signalisation, la premiere partie du processus 
de controle d'acces au niveau cellule consiste a rediriger le trafic provenant des 
reseaux interne et externe vers les cartes I FT 20, 21 . Cependant, dans ce cas, 

10 la configuration doit preserver la configuration realisee pour le controle de la 
signalisation. A titre d'exemple, les canaux virtuels identifies par une valeur de 
VCI egal a 31 sont volontairement laisses libres afm de permettre au 
commutateur ATM 3 de rejeter les cellules appartenant a une communication 
qui doit etre interdite. Le commutateur ATM 3 est alors configure afin de creer 

15 un canal virtuel pour chaque valeur de VCI differente de 5 et de 31 entre 
chaque paire ^interface (10, 14) et (1 1, 15), comme illustre par la figure 5. 

Les cartes I FT considerees ne permettent que Tanalyse de flux 
unidirectionnels. Ceci signifie que les flux provenant des r6seaux interne et 
externe doivent etre separes. Cette operation est particulierement simple dans 

20 le cas d'une couche physique de type Mono Mode Fiber utilise par les cartes 
puisque les fibres d'emission et de reception sont physiquement separees. La 
figure 5 montre comment les fibres de reception et demission doivent etre 
connectees entre les cartes IFT et les acces 14, 15 du commutateur 3. 

La seconde partie du processus de contrSle d'acces est la 

25 configuration des cartes IFT 20,21 afin qu'elles fournissent le service de 
controle d'acces desire. Comme indique precedemment, cette configuration est 
faite par le gestionnaire 7. Les cartes IFT ont ete congues & I'origine pour §tre 
gerees a distance par plusieurs gestionnaires. Un logiciel approprte 27 (demon 
RPC) est alors utilise dans la station 2 pour serialiser les demandes adress6es 

30 au circuit de commande 28 (driver) des cartes 20, 21. Du cote du gestionnaire 
7, une librairie donne acc6s aux fonctions de configuration. Cette librairie 
traduit les appels locaux en appels a distance sur la station 2. Les 
communications entre les deux equipements se font par exemple au travers 
tfun reseau dedie de type Ethernet. 

35 La configuration des cartes 20, 21 se base sur une description des 

communications a contrdler sous forme tfarbres. Chaque branche de Tarbre 
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decrit la valeur codee d'une chalne binaire, par exemple de 4 bits, qui peut etre 
trouvee pendant le processus d'analyse. Ce processus consiste a parcourir la 
portion de cellule a analyser par tranches de 4 bits servant a acceder au 
contenu d'une memoire associative de type TRIE incluse dans chaque carte 
5 I FT. Un arbre d'analyse, construit a partir d'une instruction de contrdle d'acces 
foumie par le gestionnaire 7, correspond a un enchaTnement donne de 
tranches de 4 bits trouvees a des emplacements determines en parcourant la 
cellule. La racine de I'arbre correspondent a un portier qui doit etre reconnu 
afin de commencer Tanalyse de I'arbre. Un exemple d'analyse est montre 

10 schematiquement sur la figure 6. Des informations complementaires peuvent 
etre associees a un nceud afin de permettre le saut d'un arbre a I'autre ou 
Tinterruption de I'analyse permettant la modification des identificateurs de 
connexion. Pour plus de details sur le fonctionnement et la configuration des 
cartes IFT, on pourra se reporter a la demande de brevet europeen 

15 n° 00400366.1 precitee. 

Les fonctions de configuration permettent au gestionnaire 7 de 
construire, de mettre a jour et de supprimer ces arbres pendant que les cartes 
IFT 20, 21 fonctionnent. La traduction entre les informations fournies par le 
processus de g§n6ration dynamique de la politique de controle d'acces de 

20 niveau cellule peut se faire la maniere suivante : 

- chaque champ possible est code par un arbre. Les valeurs decrites par la 
politique de controle d'acces sont ensuite decoupees en mots de 4 bits et 
attributes aux branches de I'arbre. Les intervalles decrits par plusieurs 
conditions sur un meme champ sont codees en generant une branche 

25 pour chaque valeur possible dans Tintervalle ; 

- le ET logique entre deux conditions sur deux champs differents est code 
comme un saut d'un arbre a un autre. 

Uaction de rejet ou d'acceptation (« DENY » ou « ALLOW ») est codee 
au moyen tfun noeud particulier provoquant la fin de I'analyse et renvoyant 
30 Pidentificateur de connexion qui sera attribue a toutes les cellules de la trame 
AAL 5 correspondante. L'action « DENY » est codee en dirigeant la trame vers 
le canal non configure (VCI 31) au niveau du commutateur 3. Le VCI 31 est 
ainsi utilise comme VCI poubelle pour jeter toutes les cellules ATM non 
conformes a la politique de securite. L'action « ALLOW » est codee en laissant 
35 Tidentificateur de connexion inchange. 

Le dispositif ci-dessus constitue un firewall ATM qui peut etre construit 
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a partir de composants existants. II a la capacite de fournir un service de 
controle d'acces aux niveaux ATM, IP et transport, voire application, et peut 
atteindre la vitesse de 622 Mbit/s sur un prototype qui a ete realise. 

Du fait notamment du delai borne du processus de controle d'acces au 
5 niveau cellule, la structure du dispositif evite les modifications de QoS qui sont 
courantes avec les firewalls classiques. Le dispositif presente en outre les 
avantages d'avoir un bon niveau de controle d'acces au niveau ATM et une 
vitesse d'analyse au niveau cellule compatible avec le debit du canal. 

Pour enrichir les capacites de contrdle d'acces au niveau application, le 

10 gestionnaire 7 peut programmer les cartes I FT afin de diriger les flux produits 
par les applications sans requete de qualite de service vers un firewall 
classique qui analyse ces flux de maniere approfondie, en r§assemblant puis 
en resegmentant les paquets IP. Dans ce cas, le filtre 19 de I'analyseur de 
signalisation 4 est modifie afin de fournir une indication de requete de qualite 

15 de service au gestionnaire 7 en meme temps que les informations indiquees 
precedemment. Le gestionnaire 7 designe ainsi aux cartes IFT 20, 21 les 
connexions etablies sans engagement de QoS, pour que les cellules 
correspondantes soient transferees au firewall exterieur et traitees selon la 
politique de controle d'acces desiree. 

20 Cette meme solution est utilisable pour traiter le probleme des paquets 

IP possedant des options. 

U invention a ete decrite ci-dessus dans son application preferee a des 
reseaux ATM supportant des reseaux IP. On notera toutefois que le 
gestionnaire 7 et le filtre 1 9 peuvent etre modifies afin de fournir des capacites 

25 de contrdle d'acces pour cfautre types d ! utilisation des reseaux ATM, comme 
par exemple Temulation de LAN, MPOA, ou relais de trame sur ATM, et de 
fa$on generate dans tout r6seau utilisant un canal de signalisation, comme 
relais de trame, X.25, ou meme Intserv (qui utilise RSVP pour a signalisation), 
sans pour autant etre base sur ATM en couche inferieure. 
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REVENDICATIONS 

1. Dispositif de controls d'acces entre des reseaux ATM, comprenant 

des moyens d'analyse de signalisation (4) et des moyens d'analyse de trafic 
(20, 21) relies a un commutateur ATM (3) configure pour faire transiter par les 

5 moyens d'analyse de signalisation des messages de signalisation ATM 
echanges entre des reseaux ATM interne et externe, et pour faire transiter par 
les moyens d'analyse de trafic des cellules ATM porteuses de trafic echangees 
entre les reseaux interne et externe dans le cadre de connexions ATM etablies 
au moyen desdits messages de signalisation ATM, le dispositif comprenant en 

10 outre des moyens de gestion de controle d'acces (7) pour configurer 
dynamiquement les moyens d'analyse de trafic (20,21) en fonction d'une 
politique de controle d'acces et d'informations recueillies par les moyens 
d'analyse de signalisation (4) de fa?on que les moyens d'analyse de trafic 
filtrent chaque cellule ATM conformement a la politique de controle d'acces. 

15 2. Dispositif selon la revendication 1, dans lequel les moyens de 

gestion de controle d'acces (7) cooperent avec les moyens d'analyse de 
signalisation (4) de fa$on a autoriser ou interdire I'etablissement de connexions 
ATM conformement a la politique de controle d'acces. 

3. Dispositif selon la revendication 1 ou 2, dans lequel les moyens 
20 d'analyse de signalisation (4) sont agences pour modifier I'adresse ATM source 

indiquee dans chaque message de requete de connexion issu du reseau ATM 
interne avant de retransmettre ledit message vers le reseau externe. 

4. Dispositif selon la revendication 3, dans lequel les moyens d'analyse 
de signalisation (4) sont agences pour remplacer I'adresse ATM source 

25 indiquee dans chaque message de requete de connexion issu du reseau ATM 
interne par une adresse ATM affectee aux moyens d'analyse de signalisation. 

5. Dispositif selon Tune quelconque des revendications 1 a 4, dans 
lequel les moyens de gestion de contrdle d'acces (7) sont agences pour 
commander aux moyens d'analyse de trafic (20, 21) de supprimer des 

30 elements pris en compte dans I'analyse de cellules echangees dans le cadre 
d'une connexion ATM en reponse § la detection, par les moyens d'analyse de 
signalisation (4), de la liberation de ladite connexion ATM. 
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6. Dispositif selon Tune quelconque des revendications 1 a 5, dans 
lequel certains au moins des filtrages de cellules ATM effectues par les 
moyens d'analyse de trafic (20, 21) sont conditionnes par des elements definis 
par les moyens de gestion de controle d'acces (7), comprenant des elements 

5 inclus dans les en-tetes ATM des cellules^ 

7. Dispositif selon la revendication 6, dans lequel les elements definis 
par les moyens de gestion de contrdle d'acces (7) pour conditionner certains 
au moins des filtrages effectues par les moyens d'analyse de trafic (20, 21) 
comprennent en outre des elements inclus dans les en-tetes de paquets portes 

10 par lesdites cellules. 

8. Dispositif selon la revendication 7, dans lequel les elements definis 
par les moyens de gestion de controle d'acces (7) pour conditionner certains 
au moins des filtrages effectues par les moyens d'analyse de trafic (20, 21) 
comprennent en outre des elements relevant d'un protocole de transport 

15 associe aux paquets. 

9. Dispositif selon la revendication 8, dans lequel lesdits paquets sont 
des paquets IP et ledit protocole de transport est TCP et/ou UDP. 

10. Dispositif selon Tune quelconque des revendications 7 a 9, dans 
lequel les elements definis par les moyens de gestion de controle d'acces (7) 

20 pour conditionner certains au moins des filtrages effectues par les moyens 
d'analyse de trafic (20, 21) comprennent en outre des Elements inclus dans 
des en-tetes d'unites de donnees de protocoles de couche application 
transportees dans les paquets. 

11. Dispositif selon Tune quelconque des revendications 1 a 10, dans 
25 lequel les moyens de gestion de controle d'accds (7) sont agences pour 

commander les moyens d'analyse de signalisation (4) et/ou les moyens 
d'analyse de trafic (20, 21) pour appliquer une politique de controle d'acces 
fournie selon un langage unifie pour des operations de controle d'acces 
effectuees a differents niveaux de protocole mis en oeuvre dans lesdits reseaux 
30 ATM. 

12. Dispositif selon I'une quelconque des revendications 1 a 11, dans 
lequel les moyens d'analyse de trafic (20, 21) sont agences pour transferer a 
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un dispositif pare-feu des cellules ATM relevant de connexions ATM designees 
par les moyens de gestion de controle d'acces (7). 

13. Dispositif selon Tune quelconque des revendications 1 a 12, dans 
lequel les moyens d'analyse de trafic comprennent au moins un analyseur de 

5 trafic (20) pour les cellules allant du reseau interne vers le reseau externe et au 
moins un analyseur de trafic (21) pour les cellules allant du reseau interne vers 
le reseau externe. 

14. Dispositif selon Tune quelconque des revendications 1 a 13, dans 
lequel les moyens de gestion de controle d'acces (7) configurent les moyens 

10 d'analyse de trafic (20,21) en leur fournissant des arbres d'analyse 
correspondant a des valeurs de chaTnes binaires pouvant apparaftre a des 
emplacements determines dans des cellules ATM revues du commutateur 
ATM (3), les moyens d'analyse de trafic (20, 21 ) etant agences pour detecter 
les chalnes binaires ayant lesdites valeurs et, en reponse a cette detection 

15 pour chaque valeur d'un arbre d'analyse, accomplir une action de controle 
d'acces specifiee dans la politique de controle d'acces ou poursuivre I'analyse 
selon un arbre suivant. 

15. Dispositif selon la revendication 14, dans lequel les moyens 
d'analyse de trafic (20, 21) comprennent au moins une memoire associative de 

20 type TRIE pour effectuer des analyses selon un ensemble d'arbres defini 
dynamiquement par les moyens de gestion de contrdle d'acces (7). 



WO 02/09367 



PCT/FR01/02394 



1 



IHM 



GESTIONNAIRE DE 
CONTROLE D'ACCES 

A 



1/4 

V 1 



4. 

I 



ANALYSEUR DE 

SIGNALISATION 
— x 



i NTERFACE 
ATM 



10 



RESEAU 
INTERNE 



INTERFACE 
ATM 



12 



demon 



28. 



-27 



DRIVER IFT 



20. 



J I 



CARTE 

IFT 
— % 



13 



14 



COMMUTATEUR ATM 



2L 



CARTE 
IFT 



l 



15 



\1 



11 



RESEAU 
EXTERNE 



FIG.1. 



RESEAU 
INTERNE 




RESEAU 
EXTERNE 



FIG. 2 . 



WO 02/09367 



PCT/FRO 1/02394 



2/4 

GESTIONNAIRE CONTROlE D'ACCES 



I - 



FILTRE 



A9 



DECOMPOSITION 

MESSAGES DE 

SIGNALISATION 
_ 



/ 



.25 



CONSTRUCTION 
MESSAGES DE 
SIGNALISATION 



MODULE Q93B 



17 



MODULE SSCOP 



-16 



MODULE SSCOP 



.18 



INTERFACE ATM 

FIG.3. 



INTERFACE ATM 





PC 


SOLARIS 




IFT 




IFT 






FIG.5. 



WO 02/09367 



PCT/FR01/02394 



3/4 



CM 

T— 


00 

o 


Q 


CM 




Q 


CO 
CO 


DST 




CO 








T— 


o 
o 




CO 
CM 


0. 


ST AD 


IO 

CO 


3 0RT 




N- 








o 


o 
o 




CM 
CM 




a 

DL 


CO 


SRCI 




CO 








o> 


o 
o 


lueur 


T" 
CM 




DDRESS 


CO 
CO 


DDRESS 




U> 




TD 




00 


CO 

o 


Long 


CM 


o 


CM 
CO 


an 
















o> 




SRC A 


T— 

CO 


DST A 




co 








CD 


AA 


lO 


CO 




Q_ 


o 

CO 


a. 




CM 








to 








Longueur 




o> 

CM 


CO 
CO 


3 0RT 


t- 






CO 

to 








I 






CO 
CM 


DDRE- 


DSTf 


o 


an 




CM 
IO 






CO 


•4— < 

<0> 


in 




CL 


CM 


SRC A 


3 0RT 


Of 
CO 






IO 






04 


En 




u> 




CO 
CM 


Q. 


SRCI 


CO 
CO 






OS 












CO 






IO 
CM 




ESS 


CO 


PORT 




CD 






Octet 


CLIP1 


CLIP2 


Octet 


CLIP1 


CLIP2 1 


Octet 


CLIP1 


CLIP2 


Octet 


CLIP1 


CLIP2 


Octet 


CLIP1 


CLIP2 



CD 



WO 02/09367 



PCT/FR01/02394 



4/4 




INTERNATIONAL SEARCH REPORT 



tnt " nal Application No 

Pui/ i R 01/02394 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 7 H04L12/56 H04Q11/04 



According to International Patent Classification (IPC) or to both national classillcaJion and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 7 H04Q 



Documentation searched other than minimum documentation to the extent that such documents are Included in the fields searched 



Electronic data base consulted during the international search (name of data base and, where practical, search terms used) 

EPO-Internal , WPI Data, INSPEC 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category * Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



OUN XU ET AL: "Design and evaluation of 
high-performance ATM firewall switch and 
Its applications" 
IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATIONS , JUNE 1999, IEEE, USA, 
vol. 17, no. 6, pages 1190-1200, 
XP002163130 
ISSN: 0733-8716 



figures 1-4 

page 1191, left-hand column, line 1 -page 
1195, right-hand column, line 7 



1,2,5-12 



3,4, 
13-15 



-/-- 



| X I Further documents are listed In the continuation of box C. 



□ 



Patent family members are listed in annex. 



• Special categories of cited documents : 

'A* document defining the general state of the art which Is not 
considered to be of particular relevance 

•E' earlier document but published on or after the international 
filing date 

•L" document which may throw doubts on priority c!atm(s) or 
which Is cited to establish the publication date or another 
citation or other special reason (as specified) 

*O a document referring to an oral disclosure, use, exhibition or 
other means 

*P" document published prior to the international filing dale but 
later than the priority date claimed 



T' later document published after Ihe international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

•X # document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document Is taken alone 

'V document of particular relevance; the claimed Invention 

cannot be considered to Involve an Inventive step when the 
document Is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
In Ihe art. 

document member of the same patent family 



Date of the actual completion of the international search 



29 October 2001 



Date of mailing of the international search report 

06/11/2001 



Name and mailing address of the ISA 

European Patent Office, P.a 5818 Patentban 2 
NL - 2280 HV Rljswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl, 
Fax (431-70)340-3016 



Authorized officer 



Scalla, A 



Form PCT/ISA/210 (second sheet) (July 1992) 



INTERNATIONAL SEARCH REPORT 



Ini " nal Application No 

Pur7hR 01/02394 



C(Continuatlon) DOCUMENTS CONSIDERED TO BE RELEVANT 



Category • 



CHalion of document, with Indication .where appropriate, of the relevant passages 



Relevant to claim No. 



LAURENT M ET AL: "SECURING COMMUNICATIONS 
OVER ATM NETWORKS: THE REMOTE ATM PRIVATE 
NETWORKS INTERCONNECTION EXAMPLE" 
ANNALES DES TELECOMMUNICATIONS - ANNALS OF 
TELECOMMUNICATIONS ,CH, PRE SSES 
POLYTECHNIQUES ET UNIVERSITAIRES ROMANDES, 
LAUSANNE , 

vol. 53, no. 9/10, 

1 September 1998 (1998-09-01), pages 
377-388, XP000791620 
ISSN: 0003-4347 

page 382, right-hand column, line 1 -page 
387, left-hand column, line 9 

PAUL 0 ET AL: "An asynchronous 
distributed access control architecture 
for IP over ATM networks" 
PROCEEDINGS 15TH ANNUAL COMPUTER SECURITY 
APPLICATIONS CONFERENCE (ACSAC'99), 
PROCEEDINGS OF 15TH ANNUAL COMPUTER 
SECURITY APPLICATIONS CONFERENCE, PHOENIX, 
AZ, USA, 6-10 DEC. 1999, 

pages 75-83, XP002163131 
1999, Los Alamitos, CA, USA, IEEE Comput. 
Soc, USA 

ISBN: 0-7695-0346-2 
figures 2,3 

page 78, right-hand column, line 36 -page 
79, right-hand column, line 23 



Fo«m PCT/1SA/2IO (coilhuaUon ol second show) (July 1892) 



RAPPORT DE RECHERCHE INTERNATIONALE 



De > Internationale No 

Pciyi-'R 01/02394 



A. CLASSEMENT OE L'OBJET OE LA DEMANDS , 

CIB 7 H04L12/56 H04Q11/04 



Selon la classification Internationale des brevets (CIB) ou a la fob seton la classification nationals el la CIB 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation minimale consultee (systeme de classification suivi des symboles de dassement) 

CIB 7 H04Q 



Documentation consultee autre que la documentation minimale dans la mesure oil ces documents relevant des domaines sur lesquels a porte la recherche 



Base de don nee s electronlque consultee au cours de la recherche Internationale (nom de ta base de don nee s, et si realisable, termes de recherche utilises) 

EPO-Internal, WPI Data, INSPEC 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie • Identification des documents cites, avec, te cas echeant, Hndlcation des passages pertinents 



no. des revendications visees 



JUN XU ET AL: "Design and evaluation of a 
high-performance ATM firewall switch and 
Its applications" 
IEEE JOURNAL ON SELECTED AREAS IN 
COMMUNICATIONS, JUNE 1999, IEEE, USA, 
vol. 17, no. 6, pages 1190-1200, 
XP002163130 
ISSN: 0733-8716 



figures 1-4 
page 1191, colonne de gauche, ligne 1 
-page 1195, colonne de drolte, Hgne 7 



1,2,5-12 



3,4, 
13-15 



-/— 



LU 



Voir la suite du cadre C pour la fin de la liste des documents 



□ 



Les documents de families de brevets sont indiques en annexe 



• Categories speclales de documents cites: 

'A' document definlssant Petal genera] de ta technique, non 
con side re com me partleuUerement pertinent 

'E* document anterieur, mate pubfie a la date de depot international 
ou apres cette date 

document pouvant jeter un doute sur une revendJcaUon de 
priorite ou cite pour determiner la date de publication d'une 
autre citation ou pour une rateon speciate (telle qulndtquee) 

'O* document se nSferant a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

'P* document publie avant ta date de depot Internal fonal, mate 
poster! eurement a ta dale de priorite revendiquee 



"T" document ulterleur publte apres la date de depot international ou la 
date de priorite' et n'appartenenant pas a re tat de fa 
technique pertinent, mais cite pour comprendre le prlncipe 
ou la theone const ituant la base de r Invent Ion 

*X* document partlcuUerement pertinent; ttnven (ion revendiquee ne peut 
elre consideree comme nouvelle ou comme Impllquant une acllvile 
Inventive par rapport au document considers isolement 

'Y* document partlcutierement pertinent; rinven tion revendiquee 

ne peut etre consideree comme impliquant une activlte inventive 
lorsque le document est assode a un ou plusleurs autres 
documents de meme nature, cette combinalson etant evidente 
pour une personne du metier 

document qui fait parlie de la meme famBIe de brevets 



Date a laqueUe la recherche Internationale a ete effectrvement achevee 



29 octobre 2001 



Date d'expedition du present rapport de recherche Internationale 



06/11/2001 



Nom et adresse postals de r administration chargee de la recherche internationaJe 
Office Europeen des Brevets, P.B. 5818 Patentiaan 2 
NL - 22B0 HV Rijswijk 
TeL (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 



FonctionnaJre autorise 



Scalia, A 



Formuteire PCT/ISA/210 (deuxfemeteuille) (juKel 1992) 



RAPPORT DE RECHERCHE INTERNATIONALE 



Dei i Internationale No 

PC./rR 01/02394 



C.(sulte) DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 0 Identification des documents cites, avec.le cas echeant, I'lndlcationdes passages pertinents 



no. des revendi cat ions visees 



LAURENT M ET AL: "SECURING COMMUNICATIONS 
OVER ATM NETWORKS : THE REMOTE ATM PRIVATE 
NETWORKS INTERCONNECTION EXAMPLE" 
ANNALES DES TELECOMMUNICATIONS - ANNALS OF 
TELECOMMUNICATIONS ,CH , PRE SSES 
POLYTECHNIQUES ET UNIVERSITAIRES ROMANDES, 
LAUSANNE, 

vol. 53, no. 9/10, 

1 septembre 1998 (1998-09-01), pages 
377-388, XP000791620 
ISSN: 0003-4347 

page 382, colonne de drolte, llgne 1 -page 
387, colonne de gauche, ligne 9 

PAUL 0 ET AL: "An asynchronous 
distributed access control architecture 
for IP over ATM networks" 
PROCEEDINGS 15TH ANNUAL COMPUTER SECURITY 
APPLICATIONS CONFERENCE (ACSAC'99), 
PROCEEDINGS OF 15TH ANNUAL COMPUTER 
SECURITY APPLICATIONS CONFERENCE, PHOENIX, 
AZ, USA, 6-10 DEC. 1999, 

pages 75-83, XP002163131 
1999, Los Alamitos, CA, USA, IEEE Comput. 
Soc, USA 

ISBN: 0-7695-0346-2 
figures 2,3 
page 78, colonne de drolte, ligne 36 -page 
79, colonne de drolte, ligne 23 



Foimulalra PCT/1SA/210 (suits da la deuclftme leUlto) (juOat 1692) 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 

□ FADED TEXT OR DRAWING 
Ckblurred OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



